bash.im ithappens.me zadolba.li
12222

Косяк-in-the-middle

Работаю в IT-аутсорсинговой компании. Сравнительно давно мы принимали нового клиента, у которого в инфраструктуре был полнейший бардак, и для удобства удалённого управления поставили туда как временное решение довольно известную всё-в-одном-VPN-софтину от японского разработчика. Время шло, на замену этой софтине пришёл привычный OpenVPN, её серверную часть отключили и успешно о ней забыли.

Недавно нужно было организовать коннект товарищу из мест, где запилено практически всё, что можно запилить, но соединения на HTTP/HTTPS остались открыты. Решил я запустить вновь ту софтину, ибо в ней за две минуты всё очень просто в GUI перенастраивается — и готово. Настроил мост с локалкой и забыл.

Спустя несколько дней звонит мне из той фирмы бухгалтер и жалуется, что не коннектится к общему принтеру (подключён по USB, расшарен с одного из компьютеров). Лезу проверять и офигеваю от того, что компу назначен адрес совсем из другой подсети. Пробую обновить аренду и вновь получаю совсем другой адрес и мистический шлюз, который пингуется.

Начиная подозревать неладное, получаю ещё несколько жалоб на принтер от других пользователей. В голове крутятся подозрения, что чьи-то шаловливые ручки воткнули что-то не то в общую сеть. Еду на место. Обегаю по кругу несколько раз всю контору в поисках мистического маршрутизатора, но тщетно. Подтягивается мой товарищ (собирались ехать к другому клиенту), вместе чешем репу минут пятнадцать, пытаемся сканить мистический роутер nmap-ом. Товарищ (безопасник по специальности) говорит о том, что это жутко похоже на MITM, только на узле, куда приходят все линки, ничего подозрительного не наблюдается. Плюнув, назначаем проблемным компам статику и удаляемся.

По пути к другому клиенту у меня просыпаются в памяти отрывки, что софтина умеет держать VPN-клиентов за NAT в локальную сеть, и эту самую опцию, когда я впервые настраивал софтину, я и включил, чтобы потестить. В итоге, когда я её перенастраивал во второй раз, я довесил к этому делу мост, создав при этом своего рода петлю, которая не проявляла себя до тех пор, пока не истекла аренда DHCP.